Questo può sembrare stupido per un professionista della sicurezza, ma riguarda gli utenti finali e l'interazione nel caso peggiore con una sfida-risposta.
Sfondo
Molti siti di autenticazione a 2 fattori richiedono la verifica delle ultime 4 cifre di un numero di telefono. Questo è unico negli Stati Uniti, perché il nostro formato di numero di telefono è (xxx) xxx - xxxx. (altri paesi potrebbero non avere questo formato cultura)
Ho assistito a numerosi errori di accesso da parte di utenti legittimi e sospetto che stiano utilizzando un altro codice a 4 cifre comune anziché il loro numero di telefono.
Non desidero raccogliere inavvertitamente SSN nel mio file di registro ed è possibile che attori malintenzionati possano tentare di raccogliere queste informazioni utilizzando uno schema simile (con l'aspetto di reimpostare una password).
Domanda
Esistono prove empiriche che suggeriscono che una popolazione di utenti può immettere SSN nel campo di immissione del numero di telefono?